Mã độc đặc biệt nguy hiểm nằm trên smartphone Samsung cả năm
Một phần mềm độc hại đã lấy cắp thông tin từ người dùng Samsung từ năm 2024, nhưng đến năm 2025 mới có bản vá và gần đây mới được công bố.
Một mã độc được phát hiện trên smartphone của Samsung. Ảnh: Dailyrecord.
Các nhà nghiên cứu tại Unit 42, bộ phận tình báo về mối đe dọa của Palo Alto Networks, vừa tiết lộ về một phần mềm gián điệp tinh vi có tên “Landfall”. Mục tiêu nhắm đến là các điện thoại Samsung Galaxy.
Theo các nhà nghiên cứu, chiến dịch này đã lợi dụng lỗ hổng zero-day trong phần mềm Android của Samsung để đánh cắp hàng loạt dữ liệu cá nhân và đã hoạt động trong gần một năm. Hiện lỗ hổng đã được vá lại, và các cuộc tấn công dường như chỉ nhắm vào những nhóm cụ thể.
Unit 42 cho biết Landfall lần đầu xuất hiện tháng 7/2024, được ghi nhận với mã định danh CVE-2025-21042. Samsung đã phát hành bản vá cho các thiết bị của mình tháng 4/2025, nhưng chi tiết về cuộc tấn công chỉ mới được công bố gần đây.
Nhóm nghiên cứu tin rằng Landfall được sử dụng tại Trung Đông để theo dõi một số cá nhân cụ thể. Do đó, khả năng bị nhiễm mã độc vào thời gian trước khi có bản vá vẫn là rất thấp. Hiện vẫn chưa rõ ai là kẻ đứng sau các cuộc tấn công này.
Landfall đặc biệt nguy hiểm vì thuộc dạng tấn công “zero-click”, nghĩa là có thể xâm nhập hệ thống mà không cần bất kỳ thao tác nào từ người dùng. Nhóm Unit 42 chỉ phát hiện ra sau khi nhận thấy hai lỗi tương tự từng được vá trong Apple iOS và WhatsApp.
Khi kết hợp lại, hai lỗ hổng đó có thể cho phép thực thi mã từ xa, nên nhóm đã bắt đầu tìm kiếm các khai thác tương tự. Họ phát hiện ra nhiều tệp hình ảnh độc hại được tải lên VirusTotal, dịch vụ quét các tệp hay link đáng ngờ, hé lộ dấu vết của cuộc tấn công Landfall.
Cách thức hoạt động của Landfall. Ảnh: Unit 42.
Thông thường, tệp hình ảnh không thể thực thi mã, nhưng một số tệp có thể bị chỉnh sửa để chứa mã độc. Trong trường hợp của Landfall, kẻ tấn công đã sử dụng các tệp DNG, một dạng tệp ảnh thô dựa trên định dạng TIFF, bên trong có nhúng các tệp ZIP chứa mã độc hại.
Trước khi có bản vá, điện thoại Samsung có một lỗ hổng trong thư viện xử lý ảnh. Hệ thống xử lý ảnh độc hại để hiển thị sẽ giải nén các tệp thư viện chia sẻ từ tệp ZIP và vô tình chạy phần mềm gián điệp Landfall.
Mã độc cũng sửa đổi chính sách SELinux trên thiết bị để lấy cắp quyền mở rộng và truy cập dữ liệu. Unit 42 ghi nhận rằng mã độc này tham chiếu đến một số mẫu điện thoại Samsung cụ thể, bao gồm Galaxy S22, S23, S24, Z Flip4, và Z Fold4.
Khi đã hoạt động, Landfall sẽ liên lạc với một máy chủ từ xa gửi đi thông tin cơ bản về thiết bị. Các kẻ điều khiển sau đó có thể trích xuất rất nhiều dữ liệu, như ID người dùng và phần cứng, các ứng dụng đã cài, danh bạ, mọi tệp lưu trữ trên thiết bị, và lịch sử duyệt web, và có khả năng kích hoạt camera và micro để do thám người dùng.
Việc loại bỏ phần mềm gián điệp cũng không hề dễ dàng. Do có khả năng can thiệp vào chính sách SELinux, Landfall có thể ăn sâu vào hệ thống và còn được trang bị nhiều công cụ giúp né tránh việc bị phát hiện.
Dựa trên các tệp được tải lên VirusTotal, nhóm Unit 42 tin rằng Landfall đã hoạt động trong năm 2024 và đầu năm 2025, chủ yếu tại Iraq, Iran, Thổ Nhĩ Kỳ và Marocco. Theo Samsung, lỗ hổng này có thể tồn tại trong phần mềm của hãng từ Android 13 đến Android 15.
Dù cuộc tấn công này có phạm vi rất hẹp và có chủ đích rõ ràng, thông tin kỹ thuật hiện đã được công bố, đồng nghĩa với việc những kẻ tấn công khác có thể lợi dụng phương thức tương tự để xâm nhập các thiết bị chưa được vá lỗi. Do đó, người dùng Samsung nên đảm bảo thiết bị của mình đã được cập nhật bản vá tháng 4/2025 hoặc mới hơn.
